从“壳”又延伸出“加壳”和“脱壳”两个词汇,“加壳”指的是对编译好的EXE、DLL等文件采用加壳来进行保护;“脱壳”指的就是将文件外边的壳去除,恢复文件没有加壳前的状态。
壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳、密码壳、加密壳三种。顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,常见的压缩壳包括FSG、ASPack、UPX、北斗等;加密壳也就是常说的保护壳、猛壳,它对程序输入表等内容进行加密保护,具有良好的保护效果,常见的加密壳包括ASPROTECT、ACPROTECT、PELock、幻影等;密码壳平时使用得不多,加密壳的程序只有在正确输入密码后才能运行。
案例
如今黑客使用病毒加壳,主要是对使用的木马等恶意程序进行保护,从而避免它们被杀毒软件所查杀。比如大名鼎鼎的冰河木马,原版本被作者用UPX加壳,可是这种加壳方式已经被杀毒软件列入封杀名单。WWw.iTCOmPUTeR.CoM.cN
所以人们现在要使用冰河的时候,首先需要将原来的UPX壳脱掉,接着通过修改特征码、修改程序入口地址、加花指令等不同的方法进行免杀操作,然后再加壳进行保护,这样一个免杀的冰河木马就诞生了。当然有的人可能不会去进行麻烦的免杀操作,所以只要对脱壳的服务端程序进行多层加壳即可,不过一般都是先加加密壳,再加压缩壳,顺序不能颠倒。
简单防御方法
有人说过:壳之初,性本善。本来壳的诞生是为了帮助程序作者更好地保护自己编写的程序,但谁知道现在却成为了黑客的帮凶,为此我们更应该做好防范。
(一)通过Windows注册表监视工具对注册表的变化进行及时的监控,比如Regmon等,可以很好的实时监视并显示对整个系统注册表的访问,让用户了解某些恶意程序在系统运行后的状况。
(二)建立良好的安全习惯,不要打开一些来历不明的邮件及网页链接,不要到不确定的网页地址浏览及下载文件等。如果有可能的话,最好是在使用以前对文件的MD5值进行对比,防止黑客恶意对文件进行捆绑。
电子贺卡病毒要当心
现在很多人开始利用手机、网络等现代通讯或者其他更加环保的方式,取代传统的纸制贺卡来表达对亲朋好友的祝福和问候,这其中又以电子贺卡这种方法为甚。虽然这种方法更加便利,但是黑客也乘机对用户的系统进行入侵。当我们周围的MM欢天喜地地阅读着从互联网的四面八方寄来的电子贺卡时,也面临着中招的危险。
“祝您生日快乐,祝您生日快乐……”一段熟悉的《生日快乐》歌声从对面女孩的音响中传出,我和同事一时显得一头雾水。经过打听才知道,今天是张MM的生日,而刚刚的《生日快乐》歌声就是她的一位好友通过电子贺卡对她的生日祝贺。
当大伙纷纷向她表示生日祝贺时,张MM突然脸色大变并大叫:“不好,我的系统崩溃了。”大家纷纷将目光投向了MM的显示器,果然她的Windows XP蓝屏了。有的同事开始起哄:“MM,恭喜你啊,要让Windows XP崩溃可不容易啊,呵呵。”这时MM将目光投向我,可怜的问道:“我按‘Ctrl+Alt+Del’组合键也没有用,现在怎么办?” “没关系,按一下主机面板的复原键即可。”MM按照我说的,很快恢复了系统。
当系统恢复以后,张MM无意间在进程中发现了一个可疑的进程,再次求助我。我通过观察发现,除了可疑的进程以外,硬盘也不定时地读写。联想到刚刚的蓝屏,于是开始怀疑MM的操作系统被安装了黑客程序,这些程序从何而来成为我心中的一个疑问。
由于刚刚上班,通过网页木马、文件捆绑这些方式都是不可能的,难道是电子邮件?经询问MM得知,今天她只接收了一张电子贺卡的邮件并指给我看。我很快从电子贺卡的发送地址发现了问题,对MM说到:“这张电子贺卡是黑客利用你朋友的邮箱地址发送的。”MM吃惊的张大嘴,不知道说什么。
制作木马贺卡
经了解,通过电子贺卡进行木马程序传播是最近比较流行的。黑客通过制作一张漂亮的电子贺卡作为幌子来吸引用户的眼球,分散用户的注意力。这样当用户正眉飞色舞的观看贺卡的内容,阅读贺卡的文字时,贺卡会自动在系统后台连接黑客设置的木马文件存放地址,从而在用户不知晓的情况下将恶意,程序安装到用户的系统中。
备份杀毒软件的病毒库 现在所有的杀毒软件都采用在线升级的方式更新程序和病毒库,这样极大地方便了防病毒软件的使用,但是每次重新安装系统都需要上网再次升级软件,费时费力,遇到网络状况不好的时候,需要很长时间才能完成。其实,我们可以备份病毒库,方便重新安装时的升级。下面以Windows 2000和Windows XP操作系统为例说明。(本文为WWW.SQ120.COM电脑知识网推荐文章)
1. 卡巴斯基5.0
卡巴斯基在线升级以后,所有升级的病毒库都储存在“系统盘:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\Base s”下,拷贝即可。重装卡巴斯基后,在“设置”→“配置更新”→“更新类型”中选择“从本地文件夹”就可以升级你的病毒库。
2. 诺顿Antivirus
诺顿的LIVE UPDATE 在线升级以后,打开“系统盘:\Program Files\Common Files\symantec shared\virusdefs”目录,在里面有几个以时间命名的文件夹,备份其中最新的一个。重装之后,将备份的文件夹拷贝到“系统盘:\Program Files\Common Files\symantec shared\virusdefs\incoming”目录中,重新启动诺顿即可。
3. 瑞星
在“工具”菜单里,选择“制作硬盘安装备份”,并选择好目录即可备份当前正在使用的最新版本。需要重装时,打开备份目录,运行setup.exe,就是最新的版本了。
4. KV3000
“智能升级”在线升级后,所有的升级文件都储存在安装目录的“Temp”目录下,重装后,进入“工具”→“设置”→“升级”,选择“从局域网升级”,再选择升级文件的目录,点“立刻升级”即可。
5. 金山毒霸
金山毒霸在线升级后,升级文件保存在安装目录的UPDATE文件夹中,备份。重装金山毒霸后,选择“在线升级”→“从本地、局域网升级”,然后选择备份的目录即可。
6. MCAFEE VirusScanEnterprise 7.0
MCAFEE的LIVE UPDATE 在线升级以后,打开系统盘\Program Files\Common Files\Network Associates\Engine目录,里面有3个Dat文件,拷贝即可。重新安装系统或者防病毒软件后,将这3个文件的备份拷贝到\Program Files\Common Files\Network Associates\Engine这个目录,重新启动即可。
From:http://www.itcomputer.com.cn/Article/Network/201309/527.html